WO2023078769A1 - Verfahren, computerprogrammprodukt und speichermittel zum herstellen einer datenverbindung in einem computernetzwerk - Google Patents

Verfahren, computerprogrammprodukt und speichermittel zum herstellen einer datenverbindung in einem computernetzwerk Download PDF

Info

Publication number
WO2023078769A1
WO2023078769A1 PCT/EP2022/080050 EP2022080050W WO2023078769A1 WO 2023078769 A1 WO2023078769 A1 WO 2023078769A1 EP 2022080050 W EP2022080050 W EP 2022080050W WO 2023078769 A1 WO2023078769 A1 WO 2023078769A1
Authority
WO
WIPO (PCT)
Prior art keywords
server
client
tfo
storage system
protocol
Prior art date
Application number
PCT/EP2022/080050
Other languages
English (en)
French (fr)
Inventor
Andreas MÖLLER
Moritz VON KEISER
Original Assignee
Uniberg GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Uniberg GmbH filed Critical Uniberg GmbH
Publication of WO2023078769A1 publication Critical patent/WO2023078769A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/328Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the presentation layer [OSI layer 6]

Definitions

  • the present invention relates to a method for establishing a data connection in a computer network.
  • the invention also relates to a computer program product for establishing a data connection in a computer network and a storage medium on which such a computer program product is stored.
  • TCP Transmission Control Protocol
  • TCP protocol is a network protocol that defines how data can be exchanged between network components, for example between a user and a server.
  • the TCP protocol is part of the Internet protocol family, the foundation of the Internet. Additional protocols have been developed to increase transmission speed and transmission security.
  • TLS Transport Layer Security
  • the TLS protocol can also be used to achieve data authentication and data integrity.
  • a server establishes a session for each TLS connection. Additional data such as digital certificates and cryptographic keys must be exchanged to create the session. Only then can the actual data be transmitted. Establishing a session such as a TLS session is called a handshake.
  • TLS supports the restoration of previously or initially established connections, for which a shortened connection setup procedure or a shortened handshade can then be carried out.
  • This procedure is known as TLS session resumption.
  • Recognition means such as so-called session recognition and / or session tickets are used.
  • TLS 1.3 protocol in which session identifiers and tickets are replaced by the concept of session resumption via pre-shared keys (PSK).
  • PSK pre-shared keys
  • the server sends a PSK identity to the client after the first handshake.
  • the client stores this PSK identity along with its own session keys.
  • the client can transmit this PSK identity to the server in a ClientHello message.
  • the server can either decrypt a ticket and use session keys and connection states contained in it to continue the session, or use a lookup key contained in the PSK identity to find session keys and connection states in its own database.
  • the initial data connection or data transmission can therefore be made possible with just one round trip.
  • TLS 1.3 a new connection can even be performed in a so-called zero-round-trip method (O-RTT method) by calculating the connection key from the key of the previous connection.
  • O-RTT method zero-round-trip method
  • TCP-TFO TCP Fast Open
  • TCP-TFO extension TCP Fast Open
  • data can be exchanged ahead of time using TCP without using the so-called 3-way handshake.
  • a TFO cookie is stored on the client side, which corresponds to the TFO identification data of the server and is used for further requests to authorize the shortened connection establishment. This can significantly improve the response speed of web services.
  • the methods and protocols described above are designed in particular for renewed data connections between the client and the server.
  • the TCP-TFO protocol and TLS 1.3 including pre-shared keys can only develop their full potential for accelerating the data connection when a connection is established again between client and server, i.e. after an initial connection establishment, through which the necessary recognition means such as the TFO or PSK data were provided. There is therefore a desire to further accelerate the establishment of connections between clients and servers while the initial data connection is being established.
  • the object of the present invention is to at least partially take account of the problems described above. In particular, it is the object of the present invention to shorten data connections or the establishment of data connections between clients and servers.
  • a method for establishing a data connection in a computer network is proposed.
  • the procedure has the following steps:
  • the recognition means provided and/or generated in the initial connection setup between the client and the first server is also made available for other servers via the storage system. Accordingly, for the initial establishment of a connection between the client and the at least one additional server, the recognition means can also be used on the part of the at least one additional server, which was previously provided and/or generated only for the first server.
  • the recognition means can be understood to mean generic data, information, protocols and/or programs that were previously used and/or created for an accelerated renewed connection establishment between a client and a server between which at least one handshake has already been carried out.
  • the provision of the means of recognition can be understood as generating and/or creating the means of recognition or the corresponding data and/or information.
  • the recognition means is preferably provided both for the client and for the first server in order to speed up future and/or renewed connection establishments.
  • the at least one part of the recognition means is preferably stored in the storage system during and/or after the creation of the at least one part of the recognition means.
  • the recovery means is stored in the server memory, in particular in a memory of the first server.
  • the recovery means is stored in the separate storage system, to which the at least one further server also has access.
  • the additional server can access the storage system and consequently the at least part of the recovery means as part of the initial connection setup with the client.
  • the further server preferably checks whether a suitable means of recognition already exists and/or is stored in the second server itself. If this is the case, the initial connection setup with the client can be carried out directly with this means of recognition.
  • the storage system can be accessed in order to obtain a suitable means of recognition there for the initial connection setup. If a connection has already been established between the client and the first or a first server, in the context of which a suitable means of recognition has been deposited or stored in the storage system, this or at least part of the means of recognition can now also be used for the initial establishment of a connection between the client and the additional server.
  • a response means is provided, through which the further memory is generated as quickly as possible, in the event of a request for the possibly available and suitable recovery means, whether the desired recovery means or the at least part of the desired recovery medium is present in the storage system or not.
  • the initial connection establishment between the client and the further server can be accelerated in a case in which the desired means of recognition is not present in the storage system. In other words, long loading and/or waiting times can be avoided.
  • the at least part of the recognition means is preferably stored in the storage system by the first server.
  • the first server is preferably configured to actively deposit or store the recognition means in the storage system.
  • the proposed method can be used to establish data connections in the computer network between the client and a number of different servers.
  • the further or at least one further server can comprise a second, third, fourth or even further server or a multiplicity of servers.
  • the first server can therefore be understood as a reference server with which the client establishes a reference data connection for generating reference data for the data connections with the other servers.
  • the connection request from the client to the first server is sent using a TCP-TFO protocol
  • the recognition means has at least one TFO cookie for the client and associated TFO detection data for the first server
  • the TFO detection data is stored in the storage system
  • the connection request from the client to the additional server is sent using a TCP-TFO protocol to carry out the initial connection setup between the client and the additional server
  • the TFO recognition data is provided from the storage system for the further server
  • the initial connection setup between the client and the further server is carried out using the TFO identification data from the storage system for the further server.
  • the at least one part of the recognition means is to be understood in particular as at least one TFO cookie for the client and associated TFO recognition data for recognizing the client's TFO cookie.
  • the initial connection setup between the client and the additional server can be carried out as part of a TCP TFO process without TFO connection data having previously been exchanged or created between the client and the additional server.
  • the connection request from the client to the first server is sent using a TLS 1.3 protocol
  • the recognition means for carrying out a subsequently possible 0-RTT method has at least one PSK identity for the client and the first server, the at least one PSK identity is stored in the storage system
  • the connection request is sent from the client to the additional server using a TLS 1.3 protocol to set up the initial connection between the client and the additional server
  • the PSK - Identity from the storage system is provided for the additional server
  • the initial connection setup between the client and the additional server as part of an O-RTT process is carried out using the PSK identity from the storage system for the additional server.
  • the at least one part of the recognition means includes in particular at least one PSK identity for the client and the first server or generic PSK data for the client and the first server.
  • the initial connection setup between the client and the additional server can be carried out using the TLS 1.3 protocol as part of a 0-RTT process without PSK data having been previously exchanged or created between the client and the additional server.
  • the connection request is sent from the client to the first server using a TLS 1.3 protocol in conjunction with a TCP-TFO protocol
  • the recognition means for carrying out a subsequently possible 0-RTT method at least one PSK identity for the client and the first server and has at least one TFO cookie for the client and associated TFO identification data for the first server
  • the at least one PSK identity and the TFO identification data are stored in the storage system
  • the connection request from the client to the other server using a TLS 1.3 protocol in connection is sent with a TCP-TFO protocol to set up the initial connection between the client and the additional server
  • the PSK identity and the TFO recognition data are provided from the storage system for the additional server
  • the initial connection establishment between the client and the another server as part of an O-RTT method using the PSK identity and / or the TFO identification data from the storage system for the other server, is carried out.
  • the TCP-TFO protocol is used in conjunction with the TLS 1.3 protocol and a PSK identity provided therefrom.
  • the initial connection setup between the client and the additional server can be carried out not only particularly quickly, but also particularly securely.
  • the initial connection setup between the client and the additional server is carried out using the PSK identity before the optional use of the TFO identification data from the storage system for the additional server.
  • the PSK identity is preferably checked first before, optionally, the TFO identification data is used or checked.
  • the method can thus be carried out efficiently and quickly with a high level of data security.
  • the TFO cookie has hitherto been used with priority and/or obligatory.
  • the storage system is preferably provided as a storage system separate from the client, from the first server and from the second server. That is, the storage system is used in particular as an external and / or decentralized Storage system, designed in particular in the form of a non-volatile storage system with one or more storage means. Increased operational reliability can thus be achieved. If the first server can no longer be reached, for example, the data in the storage system can still be accessed via the additional server.
  • a computer program product which comprises instructions which, when the computer program product is executed by a computer, cause the computer to carry out the method described in detail above.
  • one aspect of the invention relates to a computer-readable storage medium on which such a computer program product is stored.
  • the storage means is preferably provided in the form of non-volatile storage means.
  • the computer program product may be implemented as computer-readable instruction code in any suitable programming language and/or machine language, such as JAVA, C++, C#, and/or Python.
  • the computer program product can be stored on a computer-readable storage medium such as a data disk, a removable drive, a volatile or non-volatile storage medium, or an integrated memory/processor.
  • the instruction code can program a computer or other programmable device, such as a controller, to perform the desired functions.
  • the computer program product can be and/or be provided on a network such as the Internet, from which it can be downloaded by a user when required.
  • the computer program product can be and/or be implemented both by means of software and by means of one or more special electronic circuits, i.e. in hardware or in any hybrid form, i.e. by means of software components and hardware components.
  • FIG. 1 shows a flow chart for explaining a method according to an embodiment of the invention
  • FIG. 2 shows a block diagram of a computer network for carrying out a method according to the invention
  • FIG. 3a shows a flow chart for explaining the embodiment according to the invention in further detail
  • FIG. 3b shows a continuation of the flow chart for explaining the embodiment according to the invention in further detail
  • FIG. 4 shows a storage medium with a computer program product stored thereon according to an embodiment of the invention.
  • Fig. 1 shows a flowchart for explaining a method for establishing data connections in a computer network shown in Fig. 2 between a client 10 of a computer 60 and different servers 20, 30.
  • a computer program product 50 is installed on the computer 60, which is used to execute the procedure is used.
  • the computer 60, the computer program product 50, the client 10, the servers 20, 30 and a separate storage system 40 are configured and designed to carry out the method described below.
  • Client 10 is shown as part of computer 60 in FIG. In an alternative embodiment, the client 10 can also be considered as a stand-alone computer 60 .
  • a connection request is first sent from the client 10 to a first server 20 using a TLS 1.3 protocol in conjunction with a TCP-TFO protocol to set up an initial connection between the client 10 and the first server 20.
  • a generic recognition means or generic recognition data is created or provided for the first server 20 and the client 10 to enable an accelerated renewed connection establishment between the client 10 and the first server 20 .
  • a PSK identity for the client 10 and the first server 20 and a TFO cookie for the client 10 and associated TFO identification data for the first server 20 are provided.
  • the TFO cookie is stored in the client 10 associated with the client 10.
  • step S2 the PSK identity and the TFO identification data are stored in a separate or decentralized storage system 40.
  • Steps S1 and S2 can be carried out at least partially in parallel. In other words, step S2 can already begin when step S1 has not yet been completely carried out.
  • a third step S3 the client 10 sends a connection request to the additional or second server 30 using a TLS 1.3 protocol in conjunction with a TCP-TFO protocol to set up the initial connection between the client 10 and the additional server 30.
  • the further server 30 checks whether it already has suitable and/or predefined recognition data such as a PSK identity and/or TFO recognition data. If this is the case, the method can proceed according to step S4a and carry out an O-RTT method directly. If the additional server 30 does not have any suitable recognition data, these are requested from the storage system 40 .
  • the additional server 30 and the storage system 40 are configured accordingly for this purpose.
  • step S4b the method proceeds according to step S4b or in further steps according to the procedure described in the introduction during the initial connection setup between the client 10 and the first server 20 .
  • suitable recognition data such as the PSK identity and the TFO recognition data are present in the storage system 40 , these can be used or provided directly for the initial connection setup or for the data connection between the client 10 and the further server 30 .
  • the initial connection setup between the client 10 and the additional server 30 is carried out in step S4c as part of an O-RTT method, using the PSK identity and TFO identification data created in step S1.
  • the PSK identity is performed before the TFO identification data is used.
  • FIGS. 3a and 3b the method described by way of example with reference to FIGS. 1 and 2 is shown in accordance with one Generic flow chart shown and described in more detail.
  • the system language for generic methods is English, which is why the explanations in the figures have not been translated into German to maintain comprehensibility.
  • FIG. 4 shows a computer-readable and non-volatile storage medium 70 on which a computer program product 50 for executing the method described above is stored.
  • Client first server further servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren zum Herstellen einer Datenverbindung in einem Computernetzwerk, aufweisend die Schritte: Senden einer Verbindungsanfrage von einem Client (10) zu einem ersten Server (20) unter Verwendung eines TCP-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client (10) und dem ersten Server (20), Bereitstellen eines Wiedererkennungsmittels für den ersten Server (20) und/oder den Client (10) zum Ermöglichen eines beschleunigten erneuten Verbindungsaufbaus zwischen dem Client (10) und dem ersten Server (20), Speichern von wenigstens einem Teil des Wiedererkennungsmittels in einem Speichersystem (40), Senden einer Verbindungsanfrage vom Client (10) zu einem weiteren Server (30) unter Verwendung eines TCP-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30), Bereitstellen des wenigstens einen Teils des Wiedererkennungsmittels aus dem Speichersystem (40) für den weiteren Server (30), und Durchführen eines initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30) unter Verwendung des wenigstens einen Teils des Wiedererkennungsmittels aus dem Speichersystem (40). Die Erfindung betrifft ferner ein Computerprogrammprodukt (50) zum Durchführen eines erfindungsgemäßen Verfahrens sowie ein Speichermittel (70), auf dem ein erfindungsgemäßes Computerprogrammprodukt (50) gespeichert ist.

Description

Titel
Verfahren, Computerprogrammprodukt und Speichermittel zum Herstellen einer Datenverbindung in einem Computernetzwerk
Beschreibung
Die vorliegende Erfindung betrifft ein Verfahren zum Herstellen einer Datenverbindung in einem Computernetzwerk. Die Erfindung betrifft ferner ein Computerprogrammprodukt zum Herstellen einer Datenverbindung in einem Computernetzwerk sowie ein Speichermittel, auf dem ein solches Computerprogrammprodukt gespeichert ist.
Im Stand der Technik sind verschiedene Verfahren zum Übertragen von Daten in Computernetzwerken bekannt. Abhängig von den Umgebungsbedingungen und verschiedenen Anforderungen an die Übertragungsgeschwindigkeit und/oder Übertragungssicherheit werden verschiedene Protokolle verwendet. Ein klassisches Protokoll zur Datenübertragung in Computernetzwerken ist das TCP (Transmission Control Protocol) bzw. TCP-Protokoll. Das TCP-Protokoll ist ein Netzwerkprotokoll, das definiert, auf welche Art und Weise Daten zwischen Netzwerkkomponenten, beispielsweise zwischen einem User und einem Server, ausgetauscht werden können. Das TCP-Protokoll ist Teil der Internetprotokollfamilie, der Grundlage des Internets. Um die Übertragungsgeschwindigkeit sowie die Übertragungssicherheit zu erhöhen, wurden weitere Protokolle entwickelt. Zur Erhöhung der Übertragungs- bzw. Datensicherheit wurde beispielsweise das TLS-(Transport Layer Security)- Protokoll entwickelt, mit welchem auf Basis eines TCP-Protokolls insbesondere in Computernetzwerken wie dem Internet eine verschlüsselte und entsprechend sichere Datenübertragung erzielt werden kann. Neben der Datenverschlüsselung kann durch das TLS- Protokoll ferner eine Datenauthentifizierung und eine Datenintegrität erreicht werden. Hierzu stellt ein Server für jede TLS-Verbindung eine Sitzung her. Zum Erstellen der Sitzung müssen zusätzliche Daten wie digitale Zertifikate und kryptographische Schlüssel ausgetauscht werden. Erst dann können die eigentlichen Daten übertragen werden. Der Aufbau einer Sitzung wie einer TLS-Sitzung wird als Handshake bezeichnet.
Abhängig von der TLS Version kann der Aufbau einer neuen TLS-Verbindung bis zu zwei Roundtrips zwischen Client und Server benötigen. TLS unterstützt die Wiederherstellung vorab bzw. initial aufgebauter Verbindungen, bei welchen anschließend eine verkürzte Verbindungsaufbauprozedur bzw. ein verkürzter Handshade durchgeführt werden kann. Dieses Verfahren wird als TLS Session Resumption bezeichnet. Hierzu können Wiedererkennungsmittel wie sogenannte Sitzungserkennungen und/oder Sitzungstickets verwendet werden. Eine Weiterentwicklung des TLS-Protokolls ist das TLS 1.3 Protokoll, bei welchem Sitzungskennungen und -tickets durch das Konzept der Sitzungswiederaufnahme über Pre-Shared Keys (PSK) ersetzt werden. Hierbei sendet der Server nach dem ersten Handshake eine PSK-Identität an den Client. Der Client speichert diese PSK-Identität zusammen mit seinen eigenen Sitzungsschlüsseln. Bei einem erneuten Handshake kann der Client in einer ClientHello-Nachricht dem Server diese PSK-Identität übermitteln. Anhand dieser PSK-Identität kann der Server entweder ein Ticket entschlüsseln und enthaltene Sitzungsschlüssel und Verbindungszustände verwenden, um die Sitzung fortzusetzen, oder er verwendet einen in der PSK-Identität enthaltenen Nachschlagschlüssel, um Sitzungsschlüssel und Verbindungszustände in seiner eigenen Datenbank zu finden.
Mittels des TLS 1.3 Protokolls kann die initiale Datenverbindung bzw. Datenübertragung demnach mit nur einem Roundtrip ermöglicht werden. Bei TLS 1.3 kann eine erneute Verbindung sogar in einem sogenannten Zero-Roundtrip-Verfahren (O-RTT-Verfahren) durchgeführt werden, indem der Verbindungsschlüssel aus dem Schlüssel der vorherigen Verbindung berechnet wird.
Zum Aufbau und zur Wiederherstellung von TLS Verbindungen wird typischerweise eine TCP- Verbindung benötigt. Eine im Stand der Technik bekannte Möglichkeit zum Beschleunigen eines TCP-Verbindungsaufbaus ist mit der Erweiterung TCP Fast Open (TCP-TFO-Protokoll) gegeben. Mittels des TCP-TFO-Protokolls kann der Austausch von Daten mittels TCP vorzeitig ohne Verwendung des sogenannten 3-Way-Handshakes erfolgen. Das heißt, bei dem ersten initialen TCP-TFO Verbindungsaufbau wird auf der Seite des Clients ein TFO-Cookie gespeichert, das korrespondierend zu den TFO-Erkennungsdaten des Servers bei weiteren Anfragen zur Berechtigung für den verkürzten Verbindungsaufbau dient. Damit kann die Reaktionsgeschwindigkeit von Webservices erheblich verbessert werden.
Die vorstehend beschriebenen Verfahren und Protokolle sind insbesondere auf erneute Datenverbindungen zwischen dem Client und dem Server ausgelegt. Das TCP-TFO-Protokoll sowie TLS 1.3 einschließlich Pre-Shared-Keys können ihr volles Potential zur Beschleunigung der Datenverbindung erst bei einem erneuten Verbindungsaufbau zwischen Client und Server entfalten, also nach einem initialen Verbindungsaufbau, durch welchen die erforderlichen Wiedererkennungsmittel wie die TFO- oder PSK-Daten zur Verfügung gestellt wurden. Es besteht deshalb der Wunsch, Verbindungsaufbauten zwischen Clients und Servern bereits während des Herstellens der initialen Datenverbindung noch weiter zu beschleunigen. Aufgabe der vorliegenden Erfindung ist es, der voranstehend beschriebenen Problematik zumindest teilweise Rechnung zu tragen. Insbesondere ist es Aufgabe der vorliegenden Erfindung, Datenverbindungen bzw. das Herstellen der Datenverbindungen zwischen Clients und Servern zu verkürzen.
Die voranstehende Aufgabe wird durch die Patentansprüche gelöst. Insbesondere wird die voranstehende Aufgabe durch das Verfahren gemäß Anspruch 1, das Computerprogrammprodukt gemäß Anspruch 7 sowie das Speichermittel gemäß Anspruch 8 gelöst. Weitere Vorteile der Erfindung ergeben sich aus den Unteransprüchen, der Beschreibung und den Figuren. Dabei gelten Merkmale, die im Zusammenhang mit dem Verfahren beschrieben sind, selbstverständlich auch im Zusammenhang mit dem erfindungsgemäßen Computerprogrammprodukt, dem Speichermittel und jeweils umgekehrt, sodass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten stets wechselseitig Bezug genommen wird und/oder werden kann.
Gemäß einem ersten Aspekt der vorliegenden Erfindung wird ein Verfahren zum Herstellen einer Datenverbindung in einem Computernetzwerk vorgeschlagen. Das Verfahren weist die folgenden Schritte auf:
Senden einer Verbindungsanfrage von einem Client zu einem ersten Server unter Verwendung eines TCP-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client und dem ersten Server,
Bereitstellen eines Wiedererkennungsmittels für den ersten Server und/oder den Client zum Ermöglichen eines beschleunigten erneuten Verbindungsaufbaus zwischen dem Client und dem ersten Server,
Speichern von wenigstens einem Teil des Wiedererkennungsmittels in einem Speichersystem,
Senden einer Verbindungsanfrage vom Client zu einem weiteren Server unter Verwendung eines TCP-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client und dem weiteren Server, Bereitstellen des wenigstens einen Teils des Wiedererkennungsmittels aus dem Speichersystem für den weiteren Server, und
Durchführen eines initialen Verbindungsaufbaus zwischen dem Client und dem weiteren Server unter Verwendung des wenigstens einen Teils des Wiedererkennungsmittels aus dem Speichersystem.
Im Rahmen der vorliegenden Erfindung wurde erkannt, dass gattungsgemäße Wiedererkennungsmittel zum beschleunigten Verbindungsaufbau zwischen Client und Server nicht nur für erneute Verbindungsaufbauten zwischen dem Client und dem einen Server, sondern auch für initiale Verbindungsaufbauten zwischen dem Client und wenigstens einem weiteren Server verwendet werden können. Damit ist es möglich, bereits den initialen Verbindungsaufbau zwischen dem Client und dem wenigstens einen weiteren Server mit reduzierten Roundtrips oder mit vollständigem Verzicht auf Roundtrips durchzuführen. Erfindungsgemäß wird das im initialen Verbindungsaufbau zwischen dem Client und dem ersten Server bereitgestellte und/oder erzeugte Wiedererkennungsmittel über das Speichersystem auch für weitere Server zur Verfügung gestellt. Demnach kann für den initialen Verbindungsaufbau zwischen dem Client und dem wenigstens einen weiteren Server auch auf Seiten des wenigstens einen weiteren Servers das Wiedererkennungsmittel verwendet werden, das zuvor zunächst nur für den ersten Server bereitgestellt und/oder erzeugt wurde.
Unter dem Wiedererkennungsmittel können gattungsgemäße Daten, Informationen, Protokolle und/oder Programme verstanden werden, die bislang für einen beschleunigten erneuten Verbindungsaufbau zwischen einem Client und einem Server, zwischen welchen bereits wenigstens ein Handshake durchgeführt wurde, verwendet und/oder erstellt wurden.
Das Bereitstellen des Wiedererkennungsmittels kann als Erzeugen und/oder Erstellen des Wiedererkennungsmittels bzw. der entsprechenden Daten und/oder Informationen verstanden werden. Das Wiedererkennungsmittel wird, zum Beschleunigen von zukünftigen und/oder erneuten Verbindungsaufbauten, vorzugsweise sowohl für den Client als auch für den ersten Server bereitgestellt.
Der wenigstens eine Teil des Wiedererkennungsmittels wird vorzugsweise während und/oder nach dem Erstellen des wenigstens einen Teils des Wiedererkennungsmittels im Speichersystem gespeichert. So wird das Wiederherstellungsmittel beispielsweise im Server- Speicher, insbesondere in einem Memory des ersten Servers, gespeichert. Gleichzeitig und/oder anschließend wird das Wiederherstellungsmittel im separaten Speichersystem gespeichert, auf welches auch der wenigstens eine weitere Server Zugriff hat. So kann der weitere Server, im Rahmen des initialen Verbindungsaufbaus mit dem Client, auf das Speichersystem und folglich auf den wenigstens einen Teil des Wiederherstellungsmittels zugreifen. Bevorzugt prüft der weitere Server, ob im zweiten Server selbst bereits ein geeignetes Wiedererkennungsmittel vorliegt und/oder gespeichert ist. Ist dies der Fall, kann der initiale Verbindungsaufbau mit dem Client direkt mit diesem Wiedererkennungsmittel durchgeführt werden. Liegt im weiteren Server kein geeignetes Wiedererkennungsmittel vor bzw. ist dort (noch) kein geeignetes Wiedererkennungsmittel gespeichert, kann auf das Speichersystem zugegriffen werden, um dort ein geeignetes Wiedererkennungsmittel für den initialen Verbindungsaufbau zu erlangen. Wurde zwischen dem Client und dem ersten bzw. einem ersten Server bereits ein Verbindungsaufbau durchgeführt, im Rahmen von welchem ein geeignetes Wiedererkennungsmittel im Speichersystem hinterlegt bzw. gespeichert wurde, kann dieses bzw. der wenigstens eine Teil des Wiedererkennungsmittels nun auch für den initialen Verbindungsaufbau zwischen dem Client und den weiteren Server verwendet werden.
Für das vorstehend beschriebene Verfahren kann es von Vorteil sein, wenn ein Antwortmittel bereitgestellt wird, durch welches dem weiteren Speicher bei einer Anfrage nach dem möglicherweise vorhandenen und geeigneten Wiederherstellungsmittel, auf möglichst schnelle Weise, eine Antwort generiert wird, ob das gewünschte Wiederherstellungsmittel bzw. der wenigstens eine Teil des gewünschten Wiederherstellungsmittel im Speichersystem vorhanden ist oder nicht. Damit kann der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server in einem Fall, in welchem das gewünschte Wiedererkennungsmittel im Speichersystem nicht vorliegt, beschleunigt werden. Mit anderen Worten, lange Lade- und/oder Wartezeiten können verhindert werden.
Der wenigstens eine Teil des Wiedererkennungsmittels wird bevorzugt durch den ersten Server im Speichersystem gespeichert. Das heißt, der erste Server ist vorzugsweise zum aktiven Hinterlegen bzw. Speichern des Wiedererkennungsmittels im Speichersystem konfiguriert.
Das vorgeschlagene Verfahren kann zum Herstellen von Datenverbindungen im Computernetzwerk zwischen dem Client und mehreren unterschiedlichen Servern durchgeführt werden. Der weitere bzw. wenigstens eine weitere Server kann einen zweiten, dritten, vierten oder noch weitere Server bzw. eine Vielzahl von Servern umfassen. Der erste Server kann mithin als Referenz-Server verstanden werden, mit welchem der Client eine Referenz- Datenverbindung zum Erzeugen von Referenzdaten für die Datenverbindungen mit den weiteren Servern herstellt.
Gemäß einer weiteren Ausführungsform der vorliegenden Erfindung ist es möglich, dass bei einem Verfahren die folgenden Schritte durchgeführt werden: die Verbindungsanfrage vom Client zum ersten Server wird unter Verwendung eines TCP-TFO-Protokolls gesendet, das Wiedererkennungsmittel weist wenigstens ein TFO-Cookie für den Client und zugehörige TFO-Erkennungsdaten für den ersten Server auf, die TFO-Erkennungsdaten werden im Speichersystem gespeichert, die Verbindungsanfrage vom Client zum weiteren Server wird unter Verwendung eines TCP-TFO-Protokolls zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client und dem weiteren Server gesendet, die TFO-Erkennungsdaten werden aus dem Speichersystem für den weiteren Server bereitgestellt, und der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server wird, unter Verwendung der TFO-Erkennungsdaten aus dem Speichersystem für den weiteren Server, durchgeführt.
Das heißt, unter dem wenigstens einen Teil des Wiedererkennungsmittels sind insbesondere wenigstens ein TFO-Cookie für den Client und zugehörige TFO-Erkennungsdaten zum Erkennen des TFO-Cookies des Clients zu verstehen. So kann der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server im Rahmen eines TCP-TFO- Prozesses durchgeführt werden, ohne dass zwischen dem Client und dem weiteren Server zuvor TFO- Verbindungsdaten ausgetauscht wurden bzw. dort erstellt wurden.
Weiterhin ist es bei einem erfindungsgemäßen Verfahren möglich, dass die folgenden Schritte durchgeführt werden: die Verbindungsanfrage vom Client zum ersten Server wird unter Verwendung eines TLS 1.3 Protokolls gesendet, das Wiedererkennungsmittel zum Durchführen eines anschließend möglichen 0-RTT- Verfahrens weist wenigstens eine PSK-Identität für den Client und den ersten Server auf, die wenigstens eine PSK-Identität wird im Speichersystem gespeichert, die Verbindungsanfrage vom Client zum weiteren Server unter Verwendung eines TLS 1.3 Protokolls wird zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client und dem weiteren Server gesendet, die PSK-Identität aus dem Speichersystem wird für den weiteren Server bereitgestellt, und der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server im Rahmen eines O-RTT-Verfahrens wird, unter Verwendung der PSK-Identität aus dem Speichersystem für den weiteren Server, durchgeführt.
In diesem Fall umfasst der wenigstens eine Teil des Wiedererkennungsmittels insbesondere wenigstens eine PSK-Identität für den Client und den ersten Server bzw. gattungsgemäße PSK- Daten für den Client und den ersten Server. So kann der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server mittels TLS 1.3 Protokoll im Rahmen eines 0-RTT- Verfahrens durchgeführt werden, ohne dass zwischen dem Client und dem weiteren Server zuvor PSK-Daten ausgetauscht wurden bzw. dort erstellt wurden.
Bei einer weiteren Ausführungsvariante eines erfindungsgemäßen Verfahrens ist es möglich, dass: die Verbindungsanfrage vom Client zum ersten Server unter Verwendung eines TLS 1.3 Protokolls in Verbindung mit einem TCP-TFO-Protokolls gesendet wird, das Wiedererkennungsmittel zum Durchführen eines anschließend möglichen 0-RTT- Verfahrens wenigstens eine PSK-Identität für den Client und den ersten Server sowie wenigstens ein TFO-Cookie für den Client und zugehörige TFO-Erkennungsdaten für den ersten Server aufweist, die wenigstens eine PSK-Identität sowie die TFO-Erkennungsdaten im Speichersystem gespeichert werden, die Verbindungsanfrage vom Client zum weiteren Server unter Verwendung eines TLS 1.3 Protokolls in Verbindung mit einem TCP-TFO-Protokolls zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client und dem weiteren Server gesendet wird, die PSK-Identität sowie die TFO-Erkennungsdaten aus dem Speichersystem für den weiteren Server bereitgestellt werden, und der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server im Rahmen eines O-RTT-Verfahrens, unter Verwendung der PSK-Identität und/oder der TFO-Erkennungsdaten aus dem Speichersystem für den weiteren Server, durchgeführt wird.
Gemäß der vorstehend beschriebenen Variante wird die Verwendung des TCP-TFO-Protokolls in Verbindung mit dem TLS 1.3 Protokoll und einer hieraus bereitgestellten PSK-Identität verwendet. Durch diese Variante kann der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server nicht nur besonders schnell, sondern auch noch besonders sicher durchgeführt werden.
Von besonderem Vorteil kann es sein, wenn bei einem erfindungsgemäßen Verfahren der initiale Verbindungsaufbau zwischen dem Client und dem weiteren Server, unter Verwendung der PSK-Identität zeitlich vor der optionalen Verwendung der TFO-Erkennungsdaten aus dem Speichersystem für den weiteren Server, durchgeführt wird. Das heißt, vorzugsweise wird zunächst die PSK-Identität geprüft, bevor, optional, die TFO-Erkennungsdaten verwendet bzw. geprüft werden. Damit kann das Verfahren mit hoher Datensicherheit effizient und schnell durchgeführt werden. Bei gattungsfremden Verfahren des Standes der Technik, bei welchen ein TCP-TFO-Protokoll in Verbindung mit einem TLS 1.3 Protokoll verwendet wird, wird das TFO- Cookie bislang prioritär und/oder obligatorisch verwendet.
Das Speichersystem ist bei einem erfindungsgemäßen Verfahren bevorzugt als vom Client, vom ersten Server sowie vom zweiten Server separates Speichersystem bereitgestellt. Das heißt, das Speichersystem wird insbesondere als externes und/oder dezentrales Speichersystem, insbesondere in Form eines nichtflüchtigen Speichersystems mit einem oder mehreren Speichermitteln, ausgestaltet. Damit kann eine erhöhte Betriebssicherheit erreicht werden. Kann der erste Server beispielsweise nicht mehr erreicht werden, kann durch den weiteren Server weiterhin auf die Daten im Speichersystem zugegriffen werden.
Gemäß einem weiteren Aspekt der vorliegenden Erfindung wird ein Computerprogrammprodukt zur Verfügung gestellt, das Befehle umfasst, die bei der Ausführung des Computerprogrammprodukts durch einen Computer diesen veranlassen, das vorstehend im Detail beschriebene Verfahren auszuführen. Darüber hinaus betrifft ein Aspekt der Erfindung ein computerlesbares Speichermittel, auf welchem ein solches Computerprogrammprodukt gespeichert ist. Das Speichermittel ist vorzugsweise in Form eines nichtflüchtigen Speichermittels bereitgestellt. Damit bringen das erfindungsgemäße Computerprogrammprodukt sowie das erfindungsgemäße Speichermittel die gleichen Vorteile mit sich, wie sie ausführlich mit Bezug auf das erfindungsgemäße Verfahren beschrieben worden sind.
Das Computerprogrammprodukt kann als computerlesbarer Anweisungscode in jeder geeigneten Programmiersprache und/oder Maschinensprache wie beispielsweise in JAVA, C++, C# und/oder Python implementiert sein. Das Computerprogrammprodukt kann auf einem computerlesbaren Speichermittel wie einer Datendisk, einem Wechsellaufwerk, einem flüchtigen oder nichtflüchtigen Speichermittel, oder einem eingebauten Speicher/Prozessor abgespeichert sein. Der Anweisungscode kann einen Computer oder andere programmierbare Geräte wie ein Steuergerät derart programmieren, dass die gewünschten Funktionen ausgeführt werden. Ferner kann das Computerprogrammprodukt in einem Netzwerk wie beispielsweise dem Internet bereitgestellt werden und/oder sein, von dem es bei Bedarf von einem Nutzer heruntergeladen werden kann. Das Computerprogrammprodukt kann sowohl mittels einer Software, als auch mittels einer oder mehrerer spezieller elektronischer Schaltungen, das heißt in Hardware oder in beliebig hybrider Form, d.h. mittels Software- Komponenten und Hardware-Komponenten, realisiert werden und/oder sein.
Weitere, die Erfindung verbessernde Maßnahmen ergeben sich aus der nachfolgenden Beschreibung zu verschiedenen Ausführungsbeispielen der Erfindung, welche in den Figuren schematisch dargestellt sind. Sämtliche aus den Ansprüchen, der Beschreibung oder den Figuren hervorgehende Merkmale und/oder Vorteile, einschließlich konstruktiver Einzelheiten und räumlicher Anordnungen können sowohl für sich als auch in den verschiedenen Kombinationen erfindungswesentlich sein.
Es zeigen jeweils schematisch: Figur 1 ein Flussdiagramm zum Erläutern eines Verfahrens gemäß einer erfindungsgemäßen Ausführungsform,
Figur 2 ein Blockschaltbild eines Computernetzwerkes zum Durchführen eines erfindungsgemäßen Verfahrens,
Figur 3a ein Ablaufdiagramm zum Erläutern der erfindungsgemäßen Ausführungsform in weiterem Detail,
Figur 3b eine Fortführung des Ablaufdiagramms zum Erläutern der erfindungsgemäßen Ausführungsform in weiterem Detail und
Figur 4 ein Speichermittel mit einem darauf gespeicherten Computerprogrammprodukt gemäß einer erfindungsgemäßen Ausführungsform.
Elemente mit gleicher Funktion und Wirkungsweise sind in den Figuren jeweils mit den gleichen Bezugszeichen versehen.
Fig. 1 zeigt ein Flussdiagramm zum Erläutern eines Verfahrens zum Herstellen von Datenverbindungen in einem in Fig. 2 gezeigten Computernetzwerk zwischen einem Client 10 eines Computers 60 und unterschiedlichen Servern 20, 30. Auf dem Computer 60 ist ein Computerprogrammprodukt 50 installiert, das zum Ausführen des Verfahrens verwendet wird. Ferner sind der Computer 60, das Computerprogrammprodukt 50, der Client 10, die Server 20, 30 und ein separates Speichersystem 40 zum Durchführen den anschließend beschriebenen Verfahrens konfiguriert und ausgestaltet. In Fig. 2 ist der Client 10 als Teil des Computers 60 dargestellt. In einer alternativen Ausführungsform kann der Client 10 auch als eigenständiger Computer 60 betrachtet werden.
In einem ersten Schritt S1 wird zunächst eine Verbindungsanfrage vom Client 10 zu einem ersten Server 20 unter Verwendung eines TLS 1.3 Protokolls in Verbindung mit einem TCP- TFO-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client 10 und dem ersten Server 20 gesendet. Im Rahmen des Verbindungsaufbaus wird ein gattungsgemäßes Wiedererkennungsmittel bzw. werden gattungsgemäße Wiedererkennungsdaten für den ersten Server 20 und den Client 10 zum Ermöglichen eines beschleunigten erneuten Verbindungsaufbaus zwischen dem Client 10 und dem ersten Server 20 erstellt bzw. bereitgestellt. Im vorliegenden Fall wird, zum Durchführen eines anschließend möglichen O-RTT-Verfahrens, eine PSK-Identität für den Client 10 und den ersten Server 20 sowie ein TFO-Cookie für den Client 10 und zugehörige TFO-Erkennungsdaten für den ersten Server 20 bereitgestellt. Das TFO-Cookie wird im Client 10 zum Client 10 zugehörig gespeichert. In einem zweiten Schritt S2 werden die PSK-Identität sowie die TFO- Erkennungsdaten in einem separaten bzw. dezentralen Speichersystem 40 gespeichert. Die Schritte S1 und S2 können zumindest teilweise parallel durchgeführt werden. Mit anderen Worten, der Schritt S2 kann bereits beginnen, wenn Schritt S1 noch nicht vollständig durchgeführt wurde.
In einem dritten Schritt S3 wird vom Client 10 eine Verbindungsanfrage zum weiteren bzw. zweiten Server 30 unter Verwendung eines TLS 1.3 Protokolls in Verbindung mit einem TCP- TFO-Protokolls zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client 10 und dem weiteren Server 30 gesendet. Im Rahmen der Verbindungsanfrage wird im weiteren Server 30 geprüft, ob dieser bereits geeignete und/oder vordefinierte Wiedererkennungsdaten wie eine PSK-Identität und/oder TFO-Erkennungsdaten aufweist. Ist dies der Fall kann das Verfahren gemäß Schritt S4a voranschreiten und direkt ein O-RTT-Verfahren durchführen. Weist der weitere Server 30 keine geeigneten Wiedererkennungsdaten auf, werden diese am Speichersystem 40 angefragt. Der weitere Server 30 und das Speichersystem 40 sind hierzu entsprechend konfiguriert. Liegen dort noch keine geeigneten Wiedererkennungsdaten vor, schreitet das Verfahren gemäß Schritt S4b bzw. in weiteren Schritten gemäß der einleitend beschriebenen Vorgehensweise beim initialen Verbindungsaufbau zwischen dem Client 10 und dem ersten Server 20 voran. Sind im Speichersystem 40 hingegen geeignete Wiedererkennungsdaten wie die PSK-Identität sowie die TFO-Erkennungsdaten vorhanden, können diese direkt für den initialen Verbindungsaufbau bzw. für die Datenverbindung zwischen dem Client 10 und dem weiteren Server 30 verwendet bzw. bereitgestellt werden. Der initiale Verbindungsaufbau zwischen dem Client 10 und dem weiteren Server 30 wird in diesem Fall im Rahmen eines O-RTT-Verfahrens, unter Verwendung der in Schritt S1 erstellten PSK-Identität und TFO-Erkennungsdaten, in Schritt S4c durchgeführt. Für den gewünschten Verbindungsaufbau wird die PSK-Identität hierbei zeitlich vor der Verwendung der TFO- Erkennungsdaten durchgeführt.
Auf die Verwendung der im Speichersystem 40 gespeicherten TFO-Erkennungsdaten zum Herstellen des initialen Verbindungsaufbaus zwischen dem Client 10 und dem weiteren Server 30 kann bei einer alternativen Vorgehensweise auch verzichtet werden. Das vorstehend beschriebene Verfahren wird auf analoge Weise durchgeführt, wenn anstelle der PSK-Identität und der TFO-Erkennungsdaten sowie des TFO-Cookies nur die PSK-Identität oder nur die TFO- Erkennungsdaten und das TFO-Cookie vorliegen und/oder verwendet werden. Auf eine separate Beschreibung diesbezüglich wird deshalb verzichtet. In den Figuren 3a und 3b ist das mit Bezug auf die Figuren 1 und 2 beispielhaft beschriebene Verfahren gemäß eines gattungsgemäßen Ablaufplans in weiterem Detail dargestellt und beschrieben. Die Systemsprache für gattungsgemäße Verfahren ist Englisch, weshalb die Erläuterungen in den Figuren zur Beibehaltung der Verständlichkeit nicht eingedeutscht wurden. Fig. 4 zeigt ein computerlesbares und nichtflüchtiges Speichermittel 70, auf welchem ein Computerprogrammprodukt 50 zum Ausführen des vorstehend beschrieben Verfahrens gespeichert ist.
Die Erfindung lässt neben den dargestellten Ausführungsformen weitere Gestaltungsgrundsätze zu. Das heißt, die Erfindung soll nicht auf die mit Bezug auf die Figuren erläuterten Ausführungsbeispiele beschränkt betrachtet werden.
Bezugszeichenliste
Client erster Server weiterer Server
Speichersystem
Computerprogrammprodukt
Computer
Speichermittel

Claims

Patentansprüche Verfahren zum Herstellen einer Datenverbindung in einem Computernetzwerk, aufweisend die Schritte:
Senden einer Verbindungsanfrage von einem Client (10) zu einem ersten Server (20) unter Verwendung eines TCP-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client (10) und dem ersten Server (20), Bereitstellen eines Wiedererkennungsmittels für den ersten Server (20) und/oder den Client (10) zum Ermöglichen eines beschleunigten erneuten Verbindungsaufbaus zwischen dem Client (10) und dem ersten Server (20), Speichern von wenigstens einem Teil des Wiedererkennungsmittels in einem Speichersystem (40),
Senden einer Verbindungsanfrage vom Client (10) zu einem weiteren Server (30) unter Verwendung eines TCP-Protokolls zum Durchführen eines initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30), Bereitstellen des wenigstens einen Teils des Wiedererkennungsmittels aus dem Speichersystem (40) für den weiteren Server (30), und
Durchführen eines initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30) unter Verwendung des wenigstens einen Teils des Wiedererkennungsmittels aus dem Speichersystem (40). Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die Verbindungsanfrage vom Client (10) zum ersten Server (20) unter Verwendung eines TCP-TFO-Protokolls gesendet wird, das Wiedererkennungsmittel wenigstens ein TFO-Cookie für den Client (10) und zugehörige TFO-Erkennungsdaten für den ersten Server (20) aufweist, die TFO-Erkennungsdaten im Speichersystem (40) gespeichert werden, die Verbindungsanfrage vom Client (10) zum weiteren Server (30) unter Verwendung eines TCP-TFO-Protokolls zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30) gesendet wird, die TFO-Erkennungsdaten aus dem Speichersystem (40) für den weiteren Server (30) bereitgestellt werden, und der initiale Verbindungsaufbau zwischen dem Client (10) und dem weiteren Server (30), unter Verwendung der TFO-Erkennungsdaten aus dem Speichersystem (40) für den weiteren Server (30), durchgeführt wird. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die Verbindungsanfrage vom Client (10) zum ersten Server (20) unter Verwendung eines TLS 1.3 Protokolls gesendet wird, das Wiedererkennungsmittel zum Durchführen eines anschließend möglichen 0- RTT-Verfahrens wenigstens eine PSK-Identität für den Client (10) und den ersten Server (20) aufweist, die wenigstens eine PSK-Identität im Speichersystem (40) gespeichert wird, die Verbindungsanfrage vom Client (10) zum weiteren Server (30) unter Verwendung eines TLS 1.3 Protokolls zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30) gesendet wird, die PSK-Identität aus dem Speichersystem (40) für den weiteren Server (30) bereitgestellt wird, und der initiale Verbindungsaufbau zwischen dem Client (10) und dem weiteren Server (30) im Rahmen eines O-RTT-Verfahrens, unter Verwendung der PSK-Identität aus dem Speichersystem (40) für den weiteren Server (30), durchgeführt wird. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die Verbindungsanfrage vom Client (10) zum ersten Server (20) unter Verwendung eines TLS 1.3 Protokolls in Verbindung mit einem TCP-TFO-Protokolls gesendet wird, das Wiedererkennungsmittel zum Durchführen eines anschließend möglichen 0- RTT-Verfahrens wenigstens eine PSK-Identität für den Client (10) und den ersten Server (20) sowie wenigstens ein TFO-Cookie für den Client (10) und zugehörige TFO-Erkennungsdaten für den ersten Server (20) aufweist, die wenigstens eine PSK-Identität sowie die TFO-Erkennungsdaten im Speichersystem (40) gespeichert werden, die Verbindungsanfrage vom Client (10) zum weiteren Server (30) unter Verwendung eines TLS 1.3 Protokolls in Verbindung mit einem TCP-TFO-Protokolls zum Durchführen des initialen Verbindungsaufbaus zwischen dem Client (10) und dem weiteren Server (30) gesendet wird, die PSK-Identität sowie die TFO-Erkennungsdaten aus dem Speichersystem (40) für den weiteren Server (30) bereitgestellt werden, und der initiale Verbindungsaufbau zwischen dem Client (10) und dem weiteren Server (30) im Rahmen eines O-RTT-Verfahrens, unter Verwendung der PSK-Identität und/oder der TFO-Erkennungsdaten aus dem Speichersystem (40) für den weiteren Server (30), durchgeführt wird. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass der initiale Verbindungsaufbau zwischen dem Client (10) und dem weiteren Server (30), unter Verwendung der PSK-Identität zeitlich vor der optionalen Verwendung der TFO- Erkennungsdaten aus dem Speichersystem (40) für den weiteren Server (30), durchgeführt wird. Verfahren nach einem der voranstehenden Ansprüche dadurch gekennzeichnet, dass das Speichersystem (40) als vom Client (10), vom ersten Server (20) sowie vom zweiten Server (30) separates Speichersystem (40) bereitgestellt wird. Computerprogrammprodukt (50), umfassend Befehle, die bei der Ausführung des Computerprogrammprodukts (50) durch einen Computer (60) diesen veranlassen, das Verfahren nach einem der Ansprüche 1 bis 6 auszuführen. Computerlesbares Speichermittel (70) mit einem darauf gespeicherten Computerprogrammprodukt (50) nach Anspruch 7.
- 15 -
PCT/EP2022/080050 2021-11-02 2022-10-27 Verfahren, computerprogrammprodukt und speichermittel zum herstellen einer datenverbindung in einem computernetzwerk WO2023078769A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021128505.4A DE102021128505A1 (de) 2021-11-02 2021-11-02 Verfahren, Computerprogrammprodukt und Speichermittel zum Herstellen einer Datenverbindung in einem Computernetzwerk
DE102021128505.4 2021-11-02

Publications (1)

Publication Number Publication Date
WO2023078769A1 true WO2023078769A1 (de) 2023-05-11

Family

ID=84361874

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/080050 WO2023078769A1 (de) 2021-11-02 2022-10-27 Verfahren, computerprogrammprodukt und speichermittel zum herstellen einer datenverbindung in einem computernetzwerk

Country Status (2)

Country Link
DE (1) DE102021128505A1 (de)
WO (1) WO2023078769A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210721A1 (de) * 2017-06-26 2018-12-27 Siemens Aktiengesellschaft Verfahren und Kommunikationssystem zum effizienten Aufbau einer sicheren Datenverbindung zwischen einem Client-Rechner und einem Server-Rechner

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017210721A1 (de) * 2017-06-26 2018-12-27 Siemens Aktiengesellschaft Verfahren und Kommunikationssystem zum effizienten Aufbau einer sicheren Datenverbindung zwischen einem Client-Rechner und einem Server-Rechner

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CHENG J CHU S RADHAKRISHNAN A JAIN GOOGLE Y: "TCP Fast Open; rfc7413.txt", TCP FAST OPEN; RFC7413.TXT, INTERNET ENGINEERING TASK FORCE, IETF; STANDARD, INTERNET SOCIETY (ISOC) 4, RUE DES FALAISES CH- 1205 GENEVA, SWITZERLAND, 19 December 2014 (2014-12-19), pages 1 - 26, XP015104516 *
HILLER JENS ET AL: "The Case for Session Sharing: Relieving Clients from TLS Handshake Overheads", 2019 IEEE 44TH LCN SYMPOSIUM ON EMERGING TOPICS IN NETWORKING (LCN SYMPOSIUM), IEEE, 14 October 2019 (2019-10-14), pages 83 - 91, XP033720388, DOI: 10.1109/LCNSYMPOSIUM47956.2019.9000667 *
RESCORLA MOZILLA E: "The Transport Layer Security (TLS) Protocol Version 1.3 draft-ietf-tls-rfc8446bis-02; draft-ietf-tls-rfc8446bis-02.txt", no. 2, 23 August 2021 (2021-08-23), pages 1 - 153, XP015147487, Retrieved from the Internet <URL:https://tools.ietf.org/html/draft-ietf-tls-rfc8446bis-02> [retrieved on 20210823] *

Also Published As

Publication number Publication date
DE102021128505A1 (de) 2023-05-04

Similar Documents

Publication Publication Date Title
EP3125492B1 (de) Verfahren und system zum erzeugen eines sicheren kommunikationskanals für endgeräte
DE10196732B4 (de) Verfahren, Speichermedium und System zur Verteilung von Software an prozessorbasierte Systeme
WO2009083091A2 (de) Verfahren und einrichtung zur kommunikation gemäss dem standardprotokoll opc ua in einem client-server-system
DE102011081804A1 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Betreiberdaten für ein Automatisierungsgerät einer Automatisierungsanlage
DE10037500A1 (de) Verfahren zur Schlüsselvereinbarung für eine kryptographisch gesicherte Punkt-zu-Multipunktverbindung
EP3226464A1 (de) Datenstruktur zur verwendung als positivliste in einem gerät, verfahren zur aktualisierung einer positivliste und gerät
EP3799379B1 (de) Verfahren und ip-basiertes kommunikationssystem zum wechseln von verbindungs-steuerungsinstanzen ohne neuregistrierung von endteilnehmern
WO2023274678A1 (de) Verwalten von schlüsseln für eine sichere kommunikation zwischen kommunikationsteilnehmern über einen getrennten kommunikationskanal
EP2304558A1 (de) System und verfahren zur fernkommunikation zwischen einem zentralen computer und einer maschinensteuerung
DE10024347B4 (de) Sicherheitsservice-Schicht
EP2839623B1 (de) Verfahren und vorrichtungen zum schreibzugriff auf eine variable in einem server
WO2023078769A1 (de) Verfahren, computerprogrammprodukt und speichermittel zum herstellen einer datenverbindung in einem computernetzwerk
EP3376419B1 (de) System und verfahren zum elektronischen signieren eines dokuments
DE60218554T2 (de) Verfahren und System zur Übertragung eines Zertifikats zwischen einem Sicherheitsmodul und einem Server
EP3762845B1 (de) Projektbezogenes zertifikatsmanagement
EP3985532A1 (de) Zertifikatsmanagement für technische anlagen
EP3252990A1 (de) Verfahren und vorrichtung zum bereitstellen eines geheimnisses zum authentisieren eines systems und/oder komponenten des systems
EP4235324A1 (de) Verfahren zur steuerung einer industriellen anlage
EP3896590A1 (de) Verfahren und systeme zum übertragen von software-artefakten aus einem quellnetzwerk zu einem zielnetzwerk
EP3881486B1 (de) Verfahren zur bereitstellung eines herkunftsortnachweises für ein digitales schlüsselpaar
EP3832508B1 (de) Sperrung oder widerruf eines gerätezertifikats
EP3746895B1 (de) Verfahren zum erzeugen von prozessprotokollen in einer verteilten it-infrastruktur
DE102016107673A1 (de) Verfahren zur Nutzung eines Proxy-Servers für den Datenaustausch
EP3107029A1 (de) Verfahren und vorrichtung zum personalisierten elektronischen signieren eines dokuments und computerprogrammprodukt
DE102022122320A1 (de) Verfahren und IP-Multimedia-Subsystem zum Durchführen einer Medienkommunikation, Computerprogrammprodukt und Speichermedium

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22809774

Country of ref document: EP

Kind code of ref document: A1